我是一名缺乏管理专业知识的开发人员,远程管理单个专用网络服务器。
我们网站最近的独立安全审计建议“RDP 不应暴露在互联网上,并应考虑使用 VPN 等强大的管理解决方案进行远程访问。使用时,应将 RDP 配置为服务器身份验证,以确保客户端不会受到中间人攻击。”
读过一些资料后,我发现网络级身份验证似乎是一件好事,因此我启用了“仅允许使用 NLA 的远程桌面连接“今天在服务器上启用该选项。
这项措施足以减轻中间人攻击的风险吗?还是我应该采取其他必要措施?如果 VPN 必不可少,我该怎么做?
答案1
你真的应该不是即使启用了 NLA,也可以向全世界开放 RDP。NLA 确实可以减少 MITM 攻击,但如果您使用默认自签名证书进行 RDP 访问,那么您就不太安全。
您不想让 RDP 向外界开放的主要原因之一是防止自动密码破解尝试。如果您从面向 Internet 的接口中删除 RDP,则可以完全缓解随机、自动的暴力攻击。为远程访问设置 VPN 之类的东西是强烈推荐的,而且很有用。
有多种方法可以实现 VPN。例如,Windows 有内置 IPSEC VPN。如果您想使用 SSL VPN 路线,OpenVPN Access Server 也免费供最多两个并发用户使用。
如果您需要有关如何设置 VPN 的非常具体的说明,那么您需要研究各种选项,选择一种技术,阅读文档,然后提出一个新问题,提出您在实施过程中遇到的任何疑虑或问题。对于 Server Fault 来说,仅仅问“如何实施 VPN”太过宽泛了。
答案2
就像用户可以直接点击浏览器中的 SSL 警告一样,避免中间人攻击仍然是用户的责任。
这一变化所做的一切就是阻止不支持 NLA(以及其提供的服务器身份验证)的旧客户端的连接。
对于 RDP 版本 6 客户端,它们受到攻击的可能性与昨天一样,不再增加,也不再减少——用户点击服务器身份对话框就是中间人攻击成功所需要发生的全部事情。
答案3
不,NLA 旨在最大限度地减少远程桌面服务器的攻击面。当您使用有效证书配置远程桌面服务器连接时,中间人保护就会发生。但是,如果用户忽略服务器或证书不受信任或无效时出现的警告,他们仍可能连接到恶意的远程桌面服务器,并且该漏洞与您的远程桌面服务器无关。
从:
为远程桌面服务连接配置网络级别身份验证
http://technet.microsoft.com/en-us/library/cc732713.aspx
“网络级身份验证”在您建立远程桌面连接并出现登录屏幕之前完成用户身份验证。这是一种更安全的身份验证方法,可以帮助保护远程计算机 [远程桌面服务器] 免受恶意用户和恶意软件的攻击。网络级身份验证的优点是:
“它最初需要的远程计算机 [远程桌面服务器] 资源较少。远程计算机在对用户进行身份验证之前使用有限数量的资源,而不是像以前的版本那样启动完整的远程桌面连接。
“它可以通过降低拒绝服务攻击的风险来帮助提供更好的安全性。”